计算机网络综合布线设计方案资料.docx
《计算机网络综合布线设计方案资料.docx》由会员分享,可在线阅读,更多相关《计算机网络综合布线设计方案资料.docx(27页珍藏版)》请在冰豆网上搜索。
计算机网络综合布线设计方案资料
某某市
政务网系统设计需求
某某大学职业技术学院
设计人员:
一.概述:
1.市委机要局机房作为整个网络的中心机房,为了保证网络的安全和保密性从市到区县均采用电信提供的专线连接。
2.其中市到4个区县都是电信专线SDH线路。
3.市级用户包含市委市政府两栋大楼里的所有用户。
原来的网络为大家上互联网用的,为了网络安全,本次局域网内网系统,全部新建。
1号办公大楼有6层,楼层高为3米,楼长度为60米,每层用户数量为在75个信息点,其中网络中心设在3层中间的房间。
2号办公大楼为5层,楼层高为3米,楼长度为70米,每层用户数量为55个信息点。
4.县级用户包含县委、县政府两栋楼。
每栋楼有4层,每层楼用户数量大概在20人左右。
二、设计原则
市区的结构化综合布线系统(PDS)的建设是一个综合的、统一的信息系统工程,将满足当前和将来网络通讯技术的发展,实现语音、数据和图像信息的传输。
本方案将提供全面完整和可扩展性强的解决方案,以实现系统实施灵活性和连贯性。
方案在设计中充分理解用户对智能化工程建设的要求,对系统现在以及将来的应用及连接需求进行综合分析,在系统需要扩容和扩展时而进行下一步实施时,可以方便并且平滑的实现。
三、综合布线示意图(只要求市委市政府)
PC
电话
四.网络拓扑结构图
图纸说明
江州市政务系统,数据中心放置在1号办公楼的3楼,是整个江州市政府网络的核心,包括核心交换机和服务器以及出口路由器。
因此是建设的重点,为了增加带宽,提高访问速度,数据中心的主要网络设备都采用光纤连接。
备及链路冗余,把各县区的路由出口设备都连接到核心防火墙上以提高整个网络的安全性和可靠性。
Web、FTP、WINS、DHCP、DNS服务器的主要数据都是存放在与其相连的数据库服务器上,数据服务器内的大容量磁盘阵列可以很好的满足服务器的需求,其中个服务器与核心防火墙相连。
数据中心到江州市下辖各县都是通过租用电信的dhc专线,这样可以提供数据的保密性。
因为是远程连接,所以数据中心到各县采用路由器而不采用交换机。
各县的PC通过汇聚层交换机汇集起来,再通过路由器接入数据中心。
五.方案设计的思路
随信息化要求的不断发展,计算机网络技术的不断提高,目前计算机网络管理系统的应用发展已相当普遍。
由于江州市政务网系统设计需求
的PDS系统,将汇总语音、数据、信号和图像的线路,组成一个模块化、系统化、灵活性较高、易维护管理的的网络布线系统,计算机及其网络系统将扮演极为重要的角色。
(一)、需求重点
1.合理、经济、安全、可靠、先进的信息化整体进行规划。
2.进行相关产品、相关设备的选型,权衡比较,设计多套方案进行评估。
3.围绕中心机房规划,异地之间的网络连接,网络安全管理,配置群集服务器规划,数据库迁移等相关要求提出完整详细的解决方案。
4.围绕着此次项目产生的一系列服务以及日后集团信息化相关的技术支持以及服务的方案。
(二)、规划实施
1.明确以上两部分重要内容之后,上级领导大力支持,相关人员的互相配合,结合多年的行业经验和相关项目的实践经验。
站在客户的立场考虑问题,积极努力的完成相关解决方案的设计。
2.各部门积极配合,急顾客之所及,求顾客之所求,努力的将此项目建设好。
3.做好售后服务工作,因为我们的服务态度可以决定客户的多少,也间接的决定了公司品牌的形象,因此,我们不仅要瞻前而且还要顾后。
六.项目的实施计划
项目设施概况:
这是一个完整的智能化大楼系统结构图。
不同功能的建筑要求的智能化设计深度和等级是不一样的,必须根据建筑的实际情况对各子系统进行取舍,以达到最优化设计。
在功能设计上,优先考虑的是办公环境的舒适度,以人为本,从而达到提高工作效率的目的。
项目设施要求:
本设计为大楼的主要实现的功能主要有:
1)首先,必须用结构化综合布线系统为大楼的智能化提供一个物理通道,并保持一定的超前性,以保证大楼的智能化配置能够长时间内不落后;
2)结构化综合布线系统,本着从总体考虑的观点。
即可以为大楼的计算机网络系统、语音通讯系统提供一个统一的高质量的传输线路,又同时考虑到了其他系统的需要,也可以满足新系统的应用。
3)布线系统作到“以人为本”,从管理角度出发。
为大楼的信息化需要,提供一个讲究美观、易管理,安全、舒适、高效、真正信息化的工作环境。
经过培训,该系统的运行和管理,完全可以由大楼的物业管理人员进行。
4)布线系统本着用户至上的原则,最大限度地满足用户提出的功能需求,并针对海关的特殊之处,确保其实用性。
并在设备变迁时有高度的灵活性、管理的方便性。
5)通过结构化综合布线系统这个物理平台,将可以综合利用楼内各子系统产生的信息,通过计算机网络系统,让各子系统作出相应的协调动作,达到信息的交换、提取、共享和处理。
6)可以通过结构化综合布线系统,灵活的组成自己的计算机网络,形成自己的办公自动化环境,可以利用DDN和ISDN等访问因特网,方便的与内部或外部进行信息或数据的传递。
1
项目设施验收标准和条件:
1)国际布线标准ISO/IECIS11801
2)EIA/TIA568A/59/606(美标)
3)EN5016,50168,50169(欧标)
4)中国工程建设标准化协会标准CECS72:
97CECS89:
97
5)YD/T926.1-1997《中华人民共和国通信行业标准》
6)《工业企业通信设计规范》
7)《民用建筑电气设计规范》
8)CCITTISDN
9)IEEE10Base-T/100Base-T/1000Base-T
10)ATM155/622Mbps
11)ANSIFDDI/TPDDI100Mbps
12)IEEE802.5TokenRing
13)EIA/TIATSB-6现场测试非屏蔽双绞线布线系统传输性能规范
14)甲方提供的建筑施工平面图
项目安全标准:
随着,信息化时代的到来,电子设备被广泛的引用于各种系统中。
这些高精度的电子设备均由大量的集成芯片组成,保护不甚,将对电子设备及人身安全造成很大威胁。
为现代智能化建筑,内有电子计算机网络系统、综合布线系统、楼宇自动化系统、办公自动化系统、保安监控系统等大量电子设备及布线系统。
电气防雷接地保护系统除满足在遭受雷击时仍可安全运行,亦可保护电子设备不受电磁干扰。
本次机房的接地点,应由设计院的电气设计完成,本设计的各个接地线均接至设计院设计的接地点。
根据GB50174-93规定,电子计算机机房的接地装置应满足以下要求:
1.直流接地,接地电阻不大于4Ω。
2.交流接地,接地电阻不大于4Ω。
3.安全接地,接地电阻不大于4Ω。
4.防雷接地,依照建筑物防雷设计规范执行。
5.由于普遍采用了以网络为中心的集中服务方式,在网络上传输病毒的机会大大减少。
以下我们将集中讨论如何利用防火墙、SSL、数字签名、VPN、LDAP等技术,来实现集成的企业级网络安全。
6.集成的网络安全策略在设计网络安全策略时,需要考虑在初建费用、网络安全的扩展性、灵活性、维护费用等方面进行综合考虑,采取适当的策略。
1、IP地址规划说明
市县
楼型
IP分配
路由出口网关
江州市
服务器
DNS192.168.1.3
WINS192.168.1.4
DHCP192.168.1.5
Web192.168.1.6
FTP192.168.1.7
1号办公楼
192.168.2.0/23
192.168.1.2/24
2号办公楼
192.168.4.0/24
192.168.1.2/24
区内服务器
192.168.1.3/24
沧县
县政府
192.168.5.128/25
192.168.5.1/24
县委
192.168.6.128/25
192.168.5.1/24
县内服务器
192.168.5.3/24
青县
县政府
192.168.7.128/25
192.168.7.1/24
县委
192.168.8.128/25
192.168.7.1/24
县内服务器
192.168.7.3/24
景县
县政府
192.168.9.128/25
192.168.9.1/24
县委
192.168.10.128/25
192.168.9.1/24
县内服务器
192.168.9.3/24
丘县
县政府
192.168.11.128/25
192.168.11.1/24
县委
192.168.12.128/25
192.168.11.1/24
县内服务器
192.168.11.3/24
6、V-LAN划分说明
6、V-LAN划分说明
楼
层
VLAN号
IP地址
1号办公楼
1
1
192.168.2.1
192.168.2.79
2
2
192.168.2.80
192.168.2.158
3
3
192.168.2.159
192.168.2.237
4
4
192.168.2.238
192.168.3.61
5
5
192.168.3.62
192.168.3.140
6
6
192.168.3.141
192.168.3.219
2号办公楼
1
7
192.168.4.1
192.168.4.59
2
8
192.168.4.60
192.168.4.119
3
9
192.168.4.120
192.168.4.179
4
10
192.168.4.180
192.168.4.239
5
11
192.168.4.240
192.168.5.35
沧县
政府楼
1
12
192.168.5.129
192.168.5.153
2
13
192.168.5.154
192.168.5.178
3
14
192.168.5.179
192.168.5.203
4
15
192.168.5.204
192.168.5.228
县委楼
1
16
192.168.6.129
192.168.6.153
2
17
192.168.6.154
192.168.6.178
3
18
192.168.6.179
192.168.6.203
4
19
192.168.6.204
192.168.6.228
青县
政府楼
1
20
192.168.7.129
192.168.7.153
2
21
192.168.7.154
192.168.7.178
3
22
192.168.7.179
192.168.7.203
4
23
192.168.7.204
192.168.7.228
县委楼
1
24
192.168.8.129
192.168.8.153
2
25
192.168.8.154
192.168.8.178
3
26
192.168.8.179
192.168.8.203
4
27
192.168.8.204
192.168.8.228
景县
政府楼
1
28
192.168.9.129
192.168.9.153
2
29
192.168.9.154
192.168.9.178
3
30
192.168.9.179
192.168.9.203
4
31
192.168.9.204
192.168.9.228
县委楼
1
32
192.168.10.129
192.168.10.153
2
33
192.168.10.154
192.168.10.178
3
34
192.168.10.179
192.168.10.203
4
35
192.168.10.204
192.168.10.228
丘县
政府楼
1
36
192.168.11.129
192.168.11.153
2
37
192.168.11.154
192.168.11.178
3
38
192.168.11.179
192.168.11.203
4
39
192.168.11.204
192.168.11.228
县委楼
1
40
192.168.12.129
192.168.12.153
2
41
192.168.12.154
192.168.12.178
3
42
192.168.12.179
192.168.12.203
4
43
192.168.12.204
192.168.12.228
2、整体方案的设计
2.1数据安全
对系统安全的考虑来源于以下方面:
外界闯入的恶意攻击;非授权的资料存取;假冒合法用户;病毒;我们可以利用现有的安全机制和系统设计,从以下几个方面来增强数据的安全性:
1)在内外网间设置访火墙;
2)对敏感数据的传输采用不对称加密;
3)利用客户端和服务器端的SSL协议;
4)服务器和客户端的双向认证;
5)数字签名;
6)操作系统的存取控制;
7)数据库的存取控制;
8)对应用程序的存取控制;
9)日常的病毒扫描。
2.2网络安全
由于普遍采用了以网络为中心的集中服务方式,在网络上传输病毒的机会大大减少。
以下我们将集中讨论如何利用防火墙、SSL、数字签名、VPN、LDAP等技术,来实现集成的企业级网络安全。
集成的网络安全策略在设计网络安全策略时,需要考虑在初建费用、网络安全的扩展性、灵活性、维护费用等方面进行综合考虑,采取适当的策略。
2.3安全访问策略
网络系统的安全性,通过网络管理软件等实现网络安全控制;
通过设置防火墙实现网络网络安全;
在应用软件上通过用户认证数字签名等手段实现网络安全;
2.4防火墙
防火墙的概念
所谓防火墙,就是在内部网与外部网之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,在此进行检查和连接。
只有被授权的通信才能通过此保护层,从而保护内部网络资源免遭非法入侵。
2.4.1防火墙特点
保护那些易受攻击的服务防火墙能过滤那些不安全的服务(如Finger、NFS等),只有设定被允许的服务才能通过防火墙,这样就降低了受到非法攻击的风险性。
控制对特殊站点的访问防火墙能控制对特殊站点的访问,如有些主机能被外部网络访问,而有些则要被保护起来。
集中化的安全管理防火墙实现安全保护的前提是内部与外部的信息交换都必须通过该控制点。
换言之,内部网与外部具有唯一的通道,这样所有的安全技术与措施都可以集中在该控制点。
对网络存取访问进行记录和审计防火墙能够记录所有访问的详细审计信息,以及网络使用情况的统计数据,当发生可疑动作时,防火墙能发出告警,并提供网络是否受到探测和攻击的历史数据便于分析。
虚拟网技术为防火墙的应用提供了更广阔的领域。
通过虚拟网的分割,将各工作组与“外界”隔离,各自形成独立的“内部网”,从而与外部其它虚拟网之间可实现隔离,虚拟网之间的网络通讯通过某种策略管理设备来管理,如路由器。
这就使得网管人员可以设置防火墙进行过滤保护,在工作组间实施安全策略。
在一个给定的物理基础设施中可分割出多种不同的虚拟网组合。
这种灵活性允许虚拟网的成员划分可根据需要决定,而不是根据它们在网上的物理位置决定。
五层楼的用户可方便地连入二层楼的工作组,工作组成员关系可随组织变化而动态地变化。
虚拟网改善了网络安全性。
由于具有了对移动、加入以及变更的控制能力,使得网络中的连接控制得到加强。
网管系统了解虚拟网中所有的终端用户,并可针对连接哪些用户、在何处需要存取何种服务等实行各种策略及控制。
2.4.2防火墙技术的实现
实现“防火墙”所用的主要技术有数据包过滤,应用网关和代理服务器等,在此基础上合理的网络拓扑结构及有关技术(在位置和配置上)的安排也是保证防火墙有效性的重要因素。
包过滤(packetfilter)技术顾名思义即在网络中适当的位置对数据包实施有选择通过。
通过检查数据流中的每个数据包后根据数据包的源地址、目的地址、所用的TCP端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过。
只有满足过滤逻辑的数据包才被转发至相应的目的的地出口端。
其佘数据包则被从数据流中删除。
包过滤技术实现方式简洁,目前网络的路由设备通常均具有一定的数据包过滤能力,因而使路由设备在完成路由选择和数据转发功能之外同时进行包过滤是目前常见的实现方式之一。
此外,在工作站上使用软件包过滤也不失为一种可行的方案,但相对较为昂贵。
若在适当的路由设备上启动包过滤功能(作此用途的路由器称ScreeningRouter)则通常不需要额外增加硬件/软件配置,也不需要对网络拓扑结构作改动。
但是,包过滤技术本身对网络的保护功能是有局限的,这是因为包过滤是在网络层和传输层上运作的技术,因而对位于网络更高协议层的信息无理解能力,使得它对通过网络应用层协议实现的安全威胁无防范能力。
由于数据包过滤逻辑是静态指定的,因而系统的操作、维护工作量相当可观。
包过滤逻辑的静态设置也使得它对需要动态指定TCP端口的应用协议(如FTP和X-Window)的应用受到限制。
进行数据包的检查和过滤会对路由设备的工作性能产生可观的影响。
并且由于路由器内部资源的限制,通常路由器对所发现的非法数据包仅是删除而已,并不作报告,从而不具有保障系统所要求的可审计性。
应用网关是建立在网络应用层上的协议过滤、转发功能,它针对特别的网络应用服务协议指定数据过滤逻辑。
并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时将对数据包的分析的结果及采取的措施作登录和统计,形成报告。
实际中应用网关通常由专用工作站系统实现。
数据包过滤技术与应用网关技术的一个共同特点是它们仅依特定的逻辑检查是否允许特定的数据包通过。
一旦特定的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而保留了防火墙外部网络系统直接了解防火墙内网络结构和运行状态的可能,代理服务器技术则是针对这一问题引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为二段,防火墙内外计算机系统间的应用层的“链接”由二个终止于代理服务器上的“链接”来实现。
外部计算机的网络链路只能到达代理服务器,由此实现了防火墙内外计算机系统的隔离,代理服务器在此等效于一个网络传输层上的数据转发器的功能。
代理服务器是防火墙技术中颇受推崇的一种,它的优点在于可以将被保护网络内部结构屏蔽起来,显著增强了网络的安全性能。
同时代理服务器还可以用于实施较强的数据流监控、过滤、记录、报告等功能。
使用代理服务器的缺点在于需要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能,并且由于代理服务器具有相当的工作量,因此通常需要专用的硬件(即工作站)来承担
3、设备配置清单
序号
设备名称
型号
产地
数量
单位
1
六类信息插座
CJ688T
泛达
1365
个
2
双孔面板
CFPUKS2BIW
泛达
683
块
3
六类四对UTP
PUC6004
泛达
410
箱
4
六芯室内多模光纤
PDU6R62
泛达
150
米
6
三类二十五对UTP
D2524DO-GY02
普多利
25
卷
7
二百对110配线架
P110B1004R4WJ
泛达
30
个
8
24口模块式配线板
CPP24WBL
泛达
79
个
10
光纤配线架
FMT24
泛达
12
个
11
过线槽
WMPF1
泛达
90
只
12
FJ光纤连接器
FJJGM5CEI
泛达
75
个
13
光纤工具
FJKITG
泛达
1
套
14
110一对配线工具
PDT110
泛达
1
个
15
110五对配线工具
PDT110M
泛达
1
个
16
机柜
定做
国产
30
个
17
路由器
1702
神州数码
43
个
18
交换机
2611
神州数码
54
个
3.1对于综合布线系统:
⏹布线系统依据国际国内相关标准协议进行设计。
⏹布线系统可以提供至少100M的带宽,支持目前和将来的语音、数据和多媒体图像传输的需求。
⏹布线系统水平走线不超过90米,确保水平传输速率不少于100Mbps。
⏹布线系统主干采用光缆。
⏹语音网和数据网合二为一。
在布线系统中所用器材一样,可以互换及更换使用,更能体现布线的灵活性。
3.2对于计算机网络系统:
⏹布线系统采用星型拓扑结构,计算机网络系统可实现集中管理,分散控制的方式。
⏹适应于各种计算机网络体系结构的需要。
例如:
4/16Mbps令牌环网、10、100、1000Base-T的以太网、IBM3270SNA、FDDI、155/622Mbps的ATM网。
⏹布线系统连接交换机(例如CISCO,3COM)等,通过计算机网络系统不仅可以满足市区内部,信息共享和交换的需要,也可以通过路由器接入ISDN、DDN等公共网访问因特网。
本着对甲方需求的理解,同时考虑到技术的发展和网络技术的应用,此方案设计将建成一个智能化程度较高的现代建筑。
综合布线系统将从总体和集成的角度出发,全方位的考虑所涉及到的各个子系统,达到系统的合理性。
在功能上主要为的计算机网络系统、语音通讯系统提供一个统一的、高质量的传输线路,并满足将来扩充和新的系统的应用。
七、结构化综合布线系统设计
1.布线系统总体规划
本方案选用Panduit的PSC综合布线产品的解决方案。
数据主干采用光纤,水平子系统全部为六类产品。
语音通讯满足ISDN的需要,数据传输速率为10/100Mbps到桌面,主干数据传输速率近期为100Mbps,并可扩充到1000Mbps。
系统采用模块化设计和分层星型网络拓扑结构。
从功能上结构化布线系统可以为主要涉及计算机系统和电话系统(也可以是相关系统)为大楼的数据、图像传输提供布线及管理,为大楼的通信、办公及管理提供自动化服务。
2.布线系统总体规划说明
✧信息点的数量依据甲方需求和房间功能设计。
✧水平信息点依据甲方需求采用六类双绞线,部分光纤到桌面,保证每个端口可以互换使用。
✧楼层管理区均采用19”标准机柜。
水平配线架采用CPP24WBL模块式配线架;放置于标准机柜,连接垂直光纤和网络设备。
✧对计算机网络系统采用集中管理和分区控制的方式。
3.布线系统详细设计方案
3.1信息点设置
1.语音点和数据点只是称呼上的不同,在布线系统中所用器材一样,可以互换及更换使用。
2.点位设置原则:
办公室以每一室为1个工作区考虑,各设置1个语音点和1个数据点;
面积较大的办公室以每一室为2个工作区考虑,各设置2个语音点和2个数据点;
会议室各设置4个数据点;
其余场合酌情设置。
3.2工作区子系统
工作区布线子系统由终端设备连接到信息插座的连线(或软线)组成,它包括装配软线、适配器和连接所需的扩展软线,并在终端设备和I/O之间搭桥。
根据适应今后计算机网络的发展,语音和数据信息插座全部采用六类模块化信息插座,提高系统的互换性。
在本系统中,由于各层水平电缆的两端(插座面板和配线面板)均采用了六类非屏蔽RJ45模块,电话线用的RJ11插